El riesgo de la Ingeniería Social
Cuando hablamos sobre ciberdelincuencia, la visión de la gran mayoría de usuarios gira en torno a complejos códigos maliciosos creados a medida para atacar una organización en particular. Pero en realidad, la ciberdelincuencia no opera siempre de esta manera.
El principal motivo es que ese tipo de ataques requieren una inversión de tiempo, recursos humanos y económicos muy elevados.
La mayoría de los ciberataques se centran en apuntar al mayor número de víctimas con la menor inversión posible. Para conseguirlo, una de las técnicas preferidas por los ciberdelincuentes es la ingeniería social.
Actualmente estamos asistiendo a un incremento alarmante en la sofisticación de los ataques, particularmente apoyada por la exposición digital de las personas (redes sociales personales o profesionales).
Definición de Ingeniería Social
Dentro del contexto de la ciberseguridad, el Instituto Nacional de Ciberseguridad (INCIBE) define la ingeniería social como “técnicas de manipulación psicológica con el objetivo de conseguir que los usuarios revelen información confidencial o realicen cualquier tipo de acción que pueda beneficiar al ciberdelincuente”.
Otra posible definición de ingeniería social podría ser “hacking de personas”.
El problema
La principal diferencia de la ingeniería social respecto a los ataques a la tecnología es que las personas tienen un gran rango de respuestas posibles en función de sus experiencias y de cómo son, no tenemos una versión de software que nos haga iguales. Esto quiere decir que cada persona es más susceptible de responder a unos estímulos o mensajes que a otros, por lo que es primordial conocer a qué tipo de ataque es más vulnerable y formar y concienciar a los usuarios en función de esta información.
Este tipo de ataques tiene un gran impacto, ya que los empleados son quienes tienen acceso a la información interna, por lo que no solo conllevan las pérdidas directas asociadas a su comisión, sino que también pueden derivar en grandes daños reputacionales y pérdidas de propiedad intelectual en muchos casos.
Es por ello que, en la actualidad, está aumentando el esfuerzo en lo relativo a la concienciación respecto a los ataques de phishing. Sin embargo, muchas personas siguen siendo víctimas de este tipo fraude. En el reporte del Instituto Ponemon del año 2020, un 69% de las empresas encuestadas en Estados Unidos afirmaron haber sufrido al menos un ataque de spear phishing el año anterior, así como un 58% de los participantes de EMEA.
Dada la frecuencia y repercusión que tienen este tipo de incidentes, cabe preguntarse cuál es la causa. No hay duda de que los ataques son cada vez más sofisticados en cuanto a su formato, forma de escribir, etc., pero esta no es la única razón. Una de las claves reside en los mensajes y los sentimientos a los que apelan, ya que pretenden bajar la guardia del receptor para evitar que se cuestione su legitimidad.
Para ello, los ciberdelincuentes disponen de un potente arsenal compuesto por diferentes técnicas de ingeniería social que van dirigidas a explotar las vulnerabilidades de las personas. Estas vulnerabilidades están relacionadas con cómo somos cada uno de nosotros, cuáles son nuestras motivaciones y cuál es nuestro actual estado de alerta (cuánto nos confiamos) en el momento del ataque.
Las soluciones tecnológicas actuales, centradas en proteger sistemas informáticos, poco pueden ayudar a mitigar este tipo de riesgos.
Entre las vías que utilizan los atacantes de forma habitual encontramos el phishing (a través de correo electrónico), vishing (por llamada telefónica) o smishing (por SMS), entre otros.
Los atacantes explotan las “vulnerabilidades” de las personas.
¿Cómo protegernos de la ingeniería social?
Para protegerse ante este tipo de ataques es necesario conocer y entender dichas vulnerabilidades y el modus operandi de los atacantes, como se hace tradicionalmente en la gestión de vulnerabilidades tecnológicas para el hardening de los servidores.
Las técnicas que utilizan emplean distintos mensajes con los que pueden llevar a cabo un ataque de ingeniería social, como pueden ser:
Basados en el miedo
Buscan amenazar a la víctima, por ejemplo, con la cancelación de un servicio en caso de no llevar a cabo los pasos explicitados en el correo.
Basados en la autoridad
Se pretende que la víctima actúe de acuerdo a lo solicitado apelando al sentido del deber, como ocurre con el fraude del CEO.
Basados en la curiosidad
Intentan despertar el interés de la víctima a través de títulos y mensajes llamativos.
Cada uno de estos mensajes desencadena una serie de mecanismos que tienen lugar en el interior de la persona que los recibe. En primer lugar, generan unas expectativas determinadas sobre lo que sucederá en caso de que se actúe (o no) de acuerdo a lo solicitado. De esta forma, se activan distintas emociones en función de si la consecuencia esperada es positiva o negativa (ansiedad o impaciencia, por ejemplo).
Todo esto lleva a la realización de una serie de conductas. El determinante de que la víctima actúe conforme al objetivo del atacante es que la emoción previa sea lo suficientemente fuerte como para nublar su conciencia, de forma que no llegue a plantearse que puede estar ante un intento de engaño.
